PwC Write up Central Affrica Republic
Đề:
WE talk to each other in own way
https://drive.google.com/open?id=0B7ahcQCpMll-ZnNvcDU1RnFKNFU
Ta nhận được 1 file pcap, ta sẽ tiến hành phân tích sơ bộ
:v Mình nhận ra ngay cái query ffd8ff.g00gle.com có vấn đề
và ffd8ff là 3 bytes đầu của file ảnh JPG, tiếp theo sẽ là e0 và 2 số random và 4a4649
Vậy giờ việc của ta là extract các cái bytes.g00gle.com ấy ra và ghép lại thành bức ảnh thôi
Mình sẽ dùng command extract data query:
tshark -r 5c7d7800965f7012b2adde87fc479d62.pcap -T fields -e ip.src -e dns.qry.name -Y "dns.flags.response eq 0 and dns.qry.name contains g00gle.com" > flag.txt
Sau đó bỏ vào notepad phẫu thuật tí , và tiến hành ghi file ta được nhận được file ảnh , strings ta nhận được 1 chuỗi hex -> decode ra flag
WE talk to each other in own way
https://drive.google.com/open?id=0B7ahcQCpMll-ZnNvcDU1RnFKNFU
Ta nhận được 1 file pcap, ta sẽ tiến hành phân tích sơ bộ
:v Mình nhận ra ngay cái query ffd8ff.g00gle.com có vấn đề
và ffd8ff là 3 bytes đầu của file ảnh JPG, tiếp theo sẽ là e0 và 2 số random và 4a4649
Vậy giờ việc của ta là extract các cái bytes.g00gle.com ấy ra và ghép lại thành bức ảnh thôi
Mình sẽ dùng command extract data query:
tshark -r 5c7d7800965f7012b2adde87fc479d62.pcap -T fields -e ip.src -e dns.qry.name -Y "dns.flags.response eq 0 and dns.qry.name contains g00gle.com" > flag.txt
Nhận xét
Đăng nhận xét